Baixe o app para aproveitar ainda mais
Prévia do material em texto
Prova Impressa GABARITO | Avaliação da Disciplina (Cod.:858956) Peso da Avaliação 10,00 Prova 72386631 Qtd. de Questões 20 Nota 9,00 A segurança física é a aplicação de medidas físicas, técnicas e procedimentais de proteção para impedir o acesso não autorizado a informação considerada sensível, onde se inclui aquela que contém dados pessoais. Deste modo a combinação apropriada de medidas de segurança físicas a serem implementadas deve ser determinada com base no resultado da análise prévia do risco. (MARQUES, 2018). Fonte: MARQUES, A. G. Segurança Física. A O objetivo da segurança física é assegurar a proteção sobre dados do passivo da organização para que somente usuários autorizados tenham acesso a ela. B O controle de acesso tem como responsabilidade promover a proteção dos hardwares, aplicativos, bem como a alteração e divulgação autorizada de dados. C A combinação apropriada de medidas de segurança físicas a serem implementadas deve ser determinada com base no resultado da análise prévia do risco. A exigência das medidas deve ser proporcional ao risco identificado. D É fundamental a manutenção da identificação do usuário por lD e senha, como também, um sistema complexo onde tenham os logs de entrada e saída do usuário. A segurança da informação integrada combina inúmeras tecnologias de segurança com compatibilidade de políticas, gerenciamento, serviço e suporte, e pesquisa para proteger as informações. Portanto, essa combinação de várias funções possibilita uma proteção mais eficiente e eficaz contra a grande variedade de ameaças minimizando os efeitos dos ataques (SANTOS; SOARES, 2019). Fonte: SANTOS, E. E. dos; SOARES, T. M. M. K. Riscos, ameaças e vulnerabilidades: o impacto da segurança da informação nas organizações. Revista Tecnológica da Fatec Americana, vol. 07, n. 02, abril/setembro de 2019. Considerando a segurança da informação integrada, assinale a alternativa CORRETA: A Filtragem de conteúdo: responsável por identificar o acesso não autorizado e dispara alertas e relatórios. B Proteção antimalware: possibilita a avaliação da posição de segurança da rede descobrindo falhas de segurança e sugerindo melhorias. C Gerenciamento de vulnerabilidades: permite as conexões além do perímetro da rede local, assegurando que redes locais se comuniquem com segurança por meio da Internet. D Firewall: responsável por controlar todo o tráfego de dados verificando as informações que entram e saem da rede assegurando para ocorrer acessos não autorizados. VOLTAR A+ Alterar modo de visualização 1 2 A ética da informação diz respeito às questões éticas e morais referentes ao desenvolvimento e ao uso das tecnologias da informação. Além disso, contempla a elaboração, coleta, duplicação, distribuição e processamento de informação (FONTES, 2006). Fonte: FONTES, Edson. Segurança da Informação: o usuário faz a diferença. São Paulo: Saraiva, 2006. Considerando a ética da informação, assinale a alternativa CORRETA: A A moral determina como as informações serão utilizadas e como o seu uso afetará os indivíduos da organização. B A ética da Informação estuda as questões normativas relacionadas com a elaboração, preservação, organização, acesso, apresentação e controle da informação. C A informação tem como característica a ética, isso significa que os indivíduos que possuem a informação devem estabelecer os padrões éticos sobre o modo de como gerir as informações. D A ética é o conjunto de valores e costumes difundidos por uma determinada sociedade, enquanto a moral é a prática coletiva influenciada por esse conjunto de valores éticos individuais. Com o propósito de orientar as organizações em relação as melhores práticas de segurança da informação, diversos órgãos consolidam inúmeros elementos de segurança com normas e boas práticas para alcançar efetivamente a segurança em seu ambiente (DONDA, 2016). Considerando as normas da NBR/ISO, assinale a alternativa CORRETA: A A Norma 27004 trata dos aspectos críticos necessários para a implantação de um projeto bem- sucedido de um Sistema de Gestão da Segurança da Informação (SGSI). B A Norma 27005 especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação no contexto da organização. C Norma 27000 proporciona uma visão geral de sistemas de gestão de segurança da informação, de termos e de definições comumente usados na família ISMS de normas. D A Norma 27001 estabelece diretrizes para as práticas de gestão de segurança da informação e normas de segurança da informação para as organizações. Um ataque usa uma determinada vulnerabilidade para infringir uma propriedade de segurança do sistema. Uma das principais ameaças aos sistemas estão relacionadas a destruição de informações ou recursos, alterações ou deturpação da informação, bem como,roubo, eliminação ou exposição de informação, podendo paralisar os serviços da organização (MAZIERO, 2019). Fonte: MAZIERO, C. Sistemas Operacionais: Conceitos e Mecanismos. Universidade Federal do Paraná. UFBR: 2019. Considerando as características de um ataque, assinale a alternativa CORRETA: A Interrupção: obtém acesso de modo não autorizado a um fluxo de informações, porém sem alterá-las, ou seja, é um ataque vinculado à confidencialidade B É preciso considerar que existem ataques ativos que visam obter informações confidenciais, entretanto, os ataques passivos inserem alterações no sistema para favorecer o atacante ou bloquear sua utilização pelos usuários autorizados. 3 4 5 C Interceptação: impede o fluxo normal das informações ou acessos, ou seja, corresponde a um ataque à disponibilidade do sistema. D Um ataque ocorre quando uma ameaça intencional é realizada. Os ataques ocorrem por motivos diversos. Variam desde a pura curiosidade, passando pelo interesse em adquirir maior conhecimento sobre os sistemas, até o extremo, envolvendo ganhos financeiros, extorsão ou chantagem de algum tipo. A informação é um recurso que tem valor agregado definido pelo usua´rio e, tendo como propo´sito, a garantia que a organização obtenha seus objetivos pelo uso eficiente e eficaz dos recursos financeiros e humanos, bem como, dos recursos tecnológicos e a pro´pria informac¸a~o. A segurança da informação representa a adoção de práticas para proteger a informação, e ainda promover um alinhamento da tecnologia com às estratégias da organização (SÊMOLA, 2003). Fonte: SE^MOLA, M. Gesta~o da seguranc¸a da informac¸a~o: uma visa~o executiva – Rio de Janeiro: Campus, 2003. Considerando a segurança na internet, assinale a alternativa CORRETA: A As empresas também precisam tomar muito cuidado com os dados que postam na internet, sendo os próprios sites, blogs, Facebook ou Instagram. B O treinamento da conscientização da equipe não é estruturado, planejado e não pode ser adaptável às situações e aos indivíduos. C A conscientização é um processo curto e rápido, que pretende criar uma consciência de uso seguro da internet, principalmente, das redes sociais, que ganham milhares de novos adeptos todos os dias. D O desafio em relação à segurança na internet é que as mudanças no mundo digital são lentas e graduais. Por isso, não é válido implementar controles e tentar resolver todos os problemas identificados imediatamente; mais vale priorizar e conscientizar. A política da segurança da informação são objetivos documentados e transformados em valores, princípios e requisitos para se obter um padrão de proteção para as informações. Seguindo essa linha de raciocínio, pode-se definir a política de segurança da informação como: um documento que determina princípios, valores, compromissos e requisitos para a segurança da informação (DANTAS, 2011). Fonte: DANTAS, L. M. Segurança da informação: uma abordagem focada em gestão de riscos. Olinda: Livro Rápido, 2011. Considerando os conceitos e definições da política de segurança da informação, assinale a alternativa CORRETA:A Desenvolvimento da Política: responsável pela definição dos requisitos corporativos da política de segurança da informação, bem como o estabelecimento de padrões para documentação. B Aprovação da política: responsável pela solicitação e o recebimento do apoio executivo. Nesta etapa, é elaborado um programa de conscientização de segurança corporativa. C Implementação da política: responsável pelo gerenciamento da fase de identificação das necessidades da política até a autorização da política final. 6 7 D Manutenção da política: avaliação da conformidade e da efetividade da política implementada, bem como elaborar ações corretivas para a não conformidade. A informação pode ser considerada um conjunto de dados que poderá resultar em novas informações, sendo um ativo valioso para a organização. Transformar esses dados em informação é transformar algo com pouco significado em um recurso de valor para a nossa vida pessoal e profissional (FONTES, 2006). Fonte: FONTES, Edson. Segurança da Informação: o usuário faz a diferença. São Paulo: Saraiva, 2006. Considerando o conceito de dados e informação, assinale a alternativa CORRETA: A Os dados são considerados fatos brutos que apresentam as características de um determinado evento, ou seja, são registros que podem estar vinculados a algum evento. B O dado é considerado uma informação processada que apresenta as características de um determinado evento. C A informação é de fácil estruturação e obtida de modo ágil por máquinas. Além disso, a informação pode ser transferível e quantificável. D O dado é um conjunto de informações com valor, que diminui a incerteza ou amplia o conhecimento. Os roteadores têm como objetivo distribuir o sinal de internet, ou seja, são importantes para fazer o roteamento e a interligação de uma rede para outra. Atualmente os roteadores possuem antenas para que os dispositivos, incluindo os estáticos, consigam realizar conexão sem fios. Em determinados modelos é preciso ter um adaptador para captar o sinal wireless (SÊMOLA, 2014). Fonte: SÊMOLA, M. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: Campus, 2 ed, 2014. Considerando as etapas para garantir a segurança da informação dos roteadores, assinale a alternativa CORRETA: A Hd externo é um ajuste que modifica a rede sem fio em um Wi-Fi invisível, deste modo, usuários não autorizados não conseguem localizar o roteador, dificultando uma possível invasão. B Rede invisível com SSDI apresenta maior parte das vulnerabilidades é observada em aparelhos recém-lançados. C A maior parte das vulnerabilidades é observada em aparelhos recém-lançados. Verificar as atualizações de segurança do firmware para que usuários mantenham os equipamentos seguros. D O WPA3.2 é um protocolo de certificação que utiliza o APS (Advanced ption Standard), sistema de encriptação mais seguro e mais pesado do que o WPA2 original. 8 9 Um certificado digital é considerado uma estrutura de dados que possui valores de chave pública, bem como, um conjunto de informações de identificação da entidade a qual essa chave está ligada (ALBUQUERQUE, 2020) fazem parte de uma Infraestrutura de Chaves Públicas, então, a confiabilidade do certificado é proveniente da assinatura realizada pela autoridade certificadora e que está presente no certificado. Fonte: ALBUQUERQUE, S. L. Protocolo de autenticação contínua multimodal com uso de eletrocardiografia para ambientes de computação móvel em nuvem. Distrito Federal, 2020. Considerando as características do certificado digital, assinale a alternativa CORRETA: A Chave de acesso pública digital, totalmente segura e confidencial, que permite verificar a autenticidade de dados. B Quem emite o certificado digital são empresas somente públicas que possuem autoridade certificadora. C As informações são criptografadas, isto é, organizadas de modo que só quem tem permissão pode entendê-los. D O A3 é a validade de um ano, fica armazenado diretamente em um único computador. CORAS é um método que integra diversas técnicas para avaliação de risco com base em Unified Modeling Language (UML). O projeto foi iniciado em 2001 por quatro países da União Europeia (Grécia, Alemanha, Noruega e Reino Unido), com apoio de empresas de TI (Intracom, Solinet e Telenor) e de sete institutos (CTI, FORTH, IFE, NCT, NR, RAL e Sintef), além da universidade QMUL, no Reino Unido (MARTINS, 2014, p. 50). Fonte: MARTINS, A. B. Desenvolvimento de uma metodologia para gestão de risco com base no método coras e avaliação quantitativa para aplicação em plantas de saneamento. Tese apresentada à Escola Politécnica da Universidade de São Paulo para obtenção do título de Doutora em Ciências. São Paulo, 2014. Considerando o método CORAS (The Coras Method), assinale a alternativa CORRETA: A O método CORAS apresenta uma forte preocupação em compreender os alvos dos passivos da organização, o contexto e os objetivos da avaliação efetuada nas principais operações da organização. B Um ponto positivo do método CORAS é que exige pouco conhecimento especializado de áreas distintas, sendo de fácil aplicação. C A linguagem CORAS é uma linguagem de modelagem gráfica para documentação, comunicação e análise de ameaças à segurança e cenários de risco no processo de análise dos passivos das ameaças. D A metodologia CORAS disponibiliza uma ferramenta computacional desenvolvida para documentar, manter e gerar relatórios de análise através da modelagem de risco. O Cobit (Control Objectives for Information and related Technology - objetivos de controle para a informação e tecnologia) é considerado uma ferramenta focada em Governança de TI elaborada e mantida pela Information Systems Audit and Control Association (ISACA) (MASCARENHAS NETO, 2019). 10 11 12 Fonte: MASCARENHAS NETO, P. T. Segurança da informação. São João Pessoa: UFPB, 2019. Considerando a ferramenta Cobit, assinale a alternativa CORRETA: A O Cobit de modo geral possui um sumário executivo, um framework, controle de objetivos, mapas de auditoria, ferramentas para implementação e um guia com técnicas de gerenciamento. B A etapa de coleta de dados do Cobit cria um perfil de risco para cada cenário com uma visão para o risco existente. C O Cobit aborda o risco de segurança da informação na tecnologia ligando os cenários associados aos riscos de segurança da informação com a resposta adequada aos passivos organizacionais. D O novo framework do Cobit 7 é estruturado em sete princípios de governança corporativa de tecnologia da informação (TI) que possibilitam que a organização desenvolva um framework efetivo de governança e gestão de TI. Um sistema informático compreende inúmeros fatores além do sistema operacional, ou seja, a em si manutenção das propriedades de segurança estão relacionadas ao funcionamento adequado de todos os elementos do sistema (hardware até o usuário final) (MAZIERO, 2019). Fonte: MAZIERO, C. Sistemas Operacionais: Conceitos e Mecanismos. Universidade Federal do Paraná. UFBR: 2019. Considerando os aspectos básicos do sistema de segurança, assinale a alternativa CORRETA: A Auditoria: alerta os responsáveis pela segurança sobre qualquer sinal de invasão ou mudança suspeita no comportamento da rede que possa significar um padrão de ataque. B Aplicativos de backup: manter sempre atualizados e testados os arquivos de segurança em mídia confiável e separados logicamente dos servidores. C Proteção de perímetro: ferramentas de firewall e routers cuidam desse aspecto, mantendo a rede protegida contra tentativas de intrusão. D Proteção de arquivos: a segurança física impede acessos físicos não autorizados à infraestrutura da rede. A gestão de riscos é considerada essencial na gestão estratégica de qualquer organização, pois analisa de modo metódico os riscos específicos de cada atividade, com o objetivo de obter uma vantagem sustentada em cada atividade individual e no conjunto de todas as atividades. Então, a ponderaçãode um risco é avaliada através da combinação da probabilidade ou frequência de ocorrência e da magnitude das consequências ou impacto dessa ocorrência (FERREIRA, 2019). Fonte: FERREIRA, D. G. Arquitetura segura no desenvolvimento de software: Abordagem à plataforma digital U. OPENLAB. Mestrado em Segurança Informática Departamento de Ciência de Computadores. Faculdade de Letras da Universidade do Porto, 2019. Considerando a matriz de risco, assinale a alternativa CORRETA: A A matriz de risco é considerada uma ferramenta muito usada que ajuda o desenvolvedor na classificação e priorização de riscos e ainda facilita a comunicação visual. B A matriz de risco é representada por meio de eixos de escalas numéricas inteiras de ocorrência e impacto para um determinado fator de risco e ameaça. C Após a representação visual da matriz, cada um dos fatores de risco precisa ser identificado e avaliado em relação a sua probabilidade de não ocorrência. D A matriz de risco avalia um processo sistemático da probabilidade de ocorrência de uma falha e do impacto desta na organização, considerando as perdas de confidencialidade, integridade e disponibilidade dos passivos. 13 14 A A matriz de risco é considerada uma ferramenta muito usada que ajuda o desenvolvedor na classificação e priorização de riscos e ainda facilita a comunicação visual. B A matriz de risco avalia um processo sistemático da probabilidade de ocorrência de uma falha e do impacto desta na organização, considerando as perdas de confidencialidade, integridade e disponibilidade dos passivos. C Após a representação visual da matriz, cada um dos fatores de risco precisa ser identificado e avaliado em relação a sua probabilidade de não ocorrência. D A matriz de risco é representada por meio de eixos de escalas numéricas inteiras de ocorrência e impacto para um determinado fator de risco e ameaça. Uma anomalia é definida como algo diferente, anormal, peculiar ou que não seja facilmente classificado. No contexto de segurança, uma anomalia pode ser definida como ações ou dados que não sejam considerados normais por um determinado sistema, usuário ou rede (PINHEIRO, 2007). Fonte: PINHEIRO, J. M. dos S. Ameaças e Ataques aos Sistemas de Informação: Prevenir e Antecipar. Caderno UniFOA.n05, dezembro de 2007. Considerando a definição de anomalia, assinale a alternativa CORRETA: A Anomalias em padrões de protocolos: estão relacionadas normalmente ao comportamento de usuários B Anomalias em padrões de protocolos: são consideradas de natureza estatística, incluindo algumas características como volume de tráfego, mistura de protocolos e inúmeras distribuições na origem e no destino. C Anomalias em padrões de comportamento: esses sistemas tendem a variar conforme a implementação, porém os mais eficientes são implementados como sistemas de modelo rígido. . D Anomalias em padrões de comportamento: estão relacionadoq normalmente ao comportamento de usuários. A nossa sociedade nunca teve ao longo da história tanto acesso de informações, mas toda essa disponibilidade pode acarretar problemas de segurança da informação. Isso significa que a segurança da informação é o conceito fundamental para defender os dados de uma determinada organização (DANTAS, 2011). Fonte: DANTAS, L.M. Segurança da Informação: uma abordagem focada em gestão de riscos. Olinda. Livro Rapido, 2011. Considerando as características da informação, assinale a alternativa CORRETA: A Informação é muito mais que um conjunto de dados. Transformar a informação em dados é transformar algo com pouco significado em um recursos de valor para a nossa vida pessoal e profissional. B A palavra informação deriva do latim “informare”, que significa dar forma ou aparência, criar, representar uma ideia ou noção de algo que é colocado em forma, em ordem. C Os dados são considerados informações brutas que apresentam as características de um determinado evento, ou seja, são registros que podem estar vinculados a algum evento problema. 15 16 D A informação pode ser considerada um conjunto de dados que poderá resultar em novas informações, sendo um passivo valioso para a organização. Em relação à análise de risco de segunrança da informação, a análise qualitativa é utilizada, geralmente, quando não existe a disponibilidade de dados ou quando eles são precários, e sua análise é realizada com base em valores referenciais. Já a análise quantitativa é utilizada quando os dados são confiáveis, estão disponíveis e sua análise é baseada em valores absolutos (DANTAS, 2011). Fonte: DANTAS, L. M. Segurança da informação: uma abordagem focada em gestão de riscos. Olinda: Livro Rápido, 2011. Considerando os métodos qualitativos e quantitativos, assinale a alternativa CORRETA: A O método quantitativo não consegue ranquear os riscos identificados e utilizam questionários e matrizes de risco. B O método qualitativo aborda técnicas subjetivas e fornece estimativas numéricas e não realizam o tratamento de dados estatísticos e dados históricos. C O método qualitativo usa técnicas objetivas, caras e complexas, porém suprem as deficiências dos métodos quantitativos. D O método quantitativo ajusta-se bem quando não se tem conhecimento profundo do objeto da análise, a incerteza é grande. A teoria do perímetro é a estrutura de segmentação de ambientes físicos, sendo considerada uma estratégia militar de defesa com o objetivo de assegurar os níveis de proteção da informação. Desse modo, torna-se possível aplicar os controles em cada nível previamente estabelecido sem exceder as reais necessidade de proteção (FONTES, 2006). Fonte: FONTES, E. L. G.Segurança da Informação: o usuário faz a diferença. São Paulo: Saraiva, 2006. Considerando as características da teoria do perímetro, assinale a alternativa CORRETA: A Núcleo da Rede: local das aplicações críticas de negócio e respectivos sistemas de apoio. B Acesso à rede: local dos recursos públicos, tais como: servidores Web e FTP, gateways de aplicação e sistemas que proporcionam funções de segurança especializadas. C Perímetro de rede: segmento que necessita da máxima proteção devido ao alto de nível das informações. D Perímetro de rede: pode ser uma rede privada, pública ou virtual, utilizada pelo exterior para acessar a rede e seus serviços e aplicativos. Com o propósito de orientar as organizações em relação as melhores práticas de segurança da informação, diversos órgãos consolidam inúmeros elementos de segurança com normas e boas práticas para alcançar efetivamente a segurança em seu ambiente. Conforme Sêmola (2003, p. 43): “Uma norma tem o propósito de definir regras, padrões e instrumentos de controle que deem uniformidade a um processo, produto ou serviço”. 17 18 19 Fonte: SÊMOLA, Marcos. Gestão da segurança da informação: uma visão executiva – Rio de Janeiro: Campus, 2003. Considerando as características da ISO 17799, assinale a alternativa CORRETA: A Os recursos de informação que serão usados para identificar anomalias técnicas precisam ser identificados, ou seja, identificar quais hardwares e outras tecnologias utilizadas no processo. B Conforme a urgência exigida para tratar uma anomalia técnica é necessário a tomada da ação conforme os controles relacionados com a gestão de mudanças. C Os patches precisam ser avaliados antes de serem testados. Isso é necessário para garantir que tragam efeitos positivos necessários ao sistema. D A organização define e estabelece as funções e responsabilidades associadas à gestão de vulnerabilidades técnicas. A informação está presente em todos os segmentos da organização. A informação organizacional surge em diferentes níveis, formatos e granularidades, ou seja, o detalhamento da informação (BALTZAN e PHILLIPS, 2012). Então cada indivíduo necessita correlacionar os diferentes níveis, formatos e granularidades da informação para tomar a decisão estratégica adequada à organização (BALTZAN e PHILLIPS, 2012; MAZIERO, 2019).Fonte: BALTZAN, P. e PHILLIPS, A. Sistemas de informação. Porto Alegre: AMGH, 2012. Fonte: MAZIERO, C. Sistemas Operacionais: Conceitos e Mecanismos. Universidade Federal do Paraná. UFBR: 2019. Considerando a qualidade da informação no contexto das organizações, assinale a alternativa CORRETA: A Informação confidencial é primordial à manutenção da sua integridade. O armazenamento precisa ser em áreas de acesso reservado. B A crescente demanda por informações em tempo real decorre da necessidade das empresas tomarem decisões mais rápidas e eficazes, C Informação pública é primordial à manutenção da sua integridade. O acesso externo dos dados que integram esse tipo de informação deve ser evitado. D Informação interna não precisa de investimento com segurança e armazenamento, e o descarte da informação pode ser realizado de forma simples. 20 Imprimir
Compartilhar